El gusano Retadup está siendo cerrada por especialistas en informática, este es el software malicioso que es responsable de la mayor parte de las versiones PARADA ransomware. El gusano se propaga principalmente en América Latina y tiene una extensa secuencia de software malicioso que se ejecuta cuando se vean comprometidos los hosts de destino. Los expertos en seguridad están tratando de apagarlo a la medida de sus posibilidades lo que limita la propagación del ransomware parada, que es su principal carga útil.
PARADA ransomware ha sido suspendido por el cierre de El Gusano Retadup
El gusano Retadup es una amenaza muy peligroso que se describe en varios informes como uno de los principales portadores de muestras de STOP ransomware. Son amenazas ransomware generalizados que son una de las amenazas de virus más molestos ya que muchas de las actuales campañas de ataque en curso transportarlo. Un equipo de expertos en seguridad han sido capaces de idear una manera de detener la liberación de la amenaza que ha disminuido rápidamente el número de ordenadores infectados con el virus de STOP.
El gusano Retadup es una amenaza muy peligroso que se describe en varios informes como uno de los principales portadores de muestras de STOP ransomware. Son amenazas ransomware generalizados que son una de las amenazas de virus más molestos ya que muchas de las actuales campañas de ataque en curso transportarlo. Un equipo de expertos en seguridad han sido capaces de idear una manera de detener la liberación de la amenaza que ha disminuido rápidamente el número de ordenadores infectados con el virus de STOP.
Una investigación en profundidad sobre la amenaza fue realizada por un equipo de seguridad mirando hacia el paradero del comando principal y el mando (C&C) servidores - una vez que se identifican los expertos pueden intento de contrarrestar las infecciones. Se encontró que la infraestructura para ser alojado en Francia, que llevó a los analistas a ponerse en contacto con la Gendarmería Nacional Francesa - nos proporcionaron una orden dando los expertos luz verde a tratar y neutralizar los servidores a la medida de sus posibilidades. Como resultado, la actividad de los virus severamente ha disminuido deteniendo así la liberación de muchas muestras de STOP ransomware. Sin embargo, esto no ha impedido que otros grupos de piratas informáticos en la liberación de nuevas variantes del virus.
Actividad Gusano Retadup: ¿Cómo Entregar la parada de ransomware virus
Lo que es particularmente interesante de este software malicioso que ha estado en desarrollo durante varios años antes de que un grupo criminal ha utilizado para el propósito de difundir las muestras PARADA ransomware. A través de los años varios módulos y componentes se han añadido y el motor principal se ha mejorado. En el momento de escribir este artículo la versión principal se compone de dos archivos: el intérprete de lenguaje de secuencia de comandos y el propio guión. Una secuencia incorporada se pondrá en marcha que ejecutará diversos componentes, una lista de ejemplo de ellos es el siguiente:
- Gusano Comprobación de la instalación - Una de las primeras acciones que se realizan por el motor de la infección es comprobar si hay una infección activa en ejecución. Esto se hace con el fin de comprobar si el anfitrión es un entorno de depuración o invitado máquina virtual. Se detendrá si esto comprueba positivo.
- Instalación persistente - El gusano Retadup se instalará de manera que se iniciará automáticamente tan pronto como se inicia el sistema. Se puede deshabilitar el acceso a las opciones de arranque de recuperación por lo que es muy difícil para los usuarios recuperar sus sistemas. También puede propagarse a otros huéspedes, tales como dispositivos de almacenamiento extraíbles y recursos compartidos de red disponibles.
- Operaciones de Troya - El gusano establecerá una conexión segura y permanente con el servidor pirata informático controlado, si alcanzable. Esto permitirá a los criminales para tomar el control de los anfitriones y secuestran cualquier dato que se encuentra en ellos.
- Registro de Cambios de Windows - El motor principal ha sido confirmada para cometer diferentes tipos de cambios en los huéspedes infectados. Las consecuencias incluyen problemas con el funcionamiento de ciertas aplicaciones y servicios, problemas de rendimiento y pérdida de datos.
Los comandos que se utilizan con mayor frecuencia durante el mando de las muestras de virus son Actualización se utiliza para verificar si hay una nueva versión de la amenaza está disponible; Descargar que se desplegará otro software malicioso en los ordenadores; Dormir que detener temporalmente la ejecución de los programas maliciosos< and UpdateSelf que reorganizar su forma actual. La mayoría de los virus también utilizan el sofisticado omitir la seguridad de UAC que se caracteriza por ser una parte de la mayoría de los troyanos avanzada disponible para el sistema de Microsoft Windows. El gusano Retadup se carga en memoria en una forma ofuscado y encriptado que significa que va a ser descifrado en tiempo real y cuando sea necesario. Esto significa que en la mayoría de los casos se hará muy difícil descubrimiento de la máquina que ejecuta.
El análisis de los servidores de comando y control muestra que están alimentados por una aplicación Node.js y los datos se almacenan en una base de datos MongoDB. El análisis detallado muestra que a lo largo de las versiones hay diferentes tipos de estructura organizativa. El análisis realizado muestra que la información recogida en las bases de datos se utiliza por los controladores para elaborar una interfaz de usuario que les permite controlar los anfitriones infectados. Algunas de las muestras recogidas han sido espectáculos para permitir operaciones avanzadas, ejemplos de tales son las siguientes:
- Reclutamiento botnet - Los anfitriones se pueden hacer parte de una red internacional de ordenadores infectados. Cuando esto se hace realidad, los equipos comprometidos se pueden utilizar en un grupo para lanzar ataques distribuidos devastadores contra las redes preestablecidas haciéndolas así que no trabaja.
- Cargando criptomoneda Miner - Una de las infecciones más comunes que son el resultado de infecciones por el virus es el despliegue de los mineros criptomoneda. Hay secuencias de comandos de pequeño tamaño o aplicaciones que permiten descargar una secuencia de tareas matemáticas rendimiento pesada y en particular la CPU, memoria, espacio en disco duro y conexión de red. Cuando la infección se reporta como completa a los servidores de los hackers estarán conectados premio criptomoneda directamente a sus bolsillos.
La situación actual con el gusano Retadup
Un gran número de los dominios y los servidores asociados al gusano de haber sido cerrado por los expertos. Sin embargo, esto no ha sido suficiente para detener la propagación de las cepas PARADA ransomware. Parece que mientras que este gusano es una de las fuentes más eficientes de la infección, no es el único. Es cierto que después del cierre de muchos de los servidores de algunas de las cepas han disminuido en volumen, sin embargo evitar que los virus se siguen desarrollando. Esto nos da razones para creer que uno de estos estados puede ser cierto:
- El colectivo criminal entre estos servidores web son uno de los principales promotores de las cuerdas PARADA ransomware. Esto significa que es posible que cuando se detienen todos los servidores del número de infecciones en curso aumentará dramáticamente.
- La segunda alternativa la comprensión de la situación es que los servidores están alquilados o prestados por los diferentes grupos de piratas informáticos con el fin de difundir sus propias versiones del ransomware PARADA.
- Otra proposición es que estos servidores son atacados específicamente con el fin de entregar el tornillo sin fin y los virus tope asociado.
Cualquiera que sea el caso, la buena noticia es que este tipo de operaciones están siendo detenido por los expertos en seguridad . Sin embargo en general ransomware PARADA muestras se siguen produciendo y que no esperan ver una ralentización en su mayor creación y distribución. Las razones para esta conclusión es el hecho de que numerosas cepas de que se hacen cada semana, lo que demuestra que son una herramienta muy rentable que es utilizado por muchos colectivos de hackers de todo el mundo.